گروهی از هکرهای چینی روش جدیدی برای دور زدن احراز هویت دو مرحله‌ای یافتند

گروهی از هکرهای چینی که گفته می‌شود با دولت این کشور هم متصل هستند؛ مدعی شدند در پروسه‌ای پیچیده می‌توانند سیستم‌های احرازهویت دو عاملی را دور زده و در نتیجه امنیت آن‌ها را زیر سوال ببرند.

این هک گفته گذشته توسط محققان امنیتی موسسه Fox-IT Holding B.V تشریح شده است. گروه هکری APT20 در ابتدا، وب سرورها را برای شروع انتخاب کرده و به طور خاص روی وب اپلیکیشن Jboss تمرکز کردند.

روش کار این هکرها این‌گونه است که ابتدا به طور قانونی یک شل وب سرور را نصب می‌کنند و بعد در سراسر شبکه توزیع می‌شوند. این رفتار قانونی و عادی به نظر می‌رسد ولی در این خلال سعی می‌کنند رمزعبور و اکانت‌های مدیر شبکه را برای کسب اطلاعات بیشتر به دست بیاورند تا ابزارهای مجازی اعتباردهی شبکه را هدف قرار دهند.

جالبی این روش هک در اینجا است که محققان مدعی هستند شواهدی پیدا کردند که حساب‌های VPN محافظت شده توسط سیستم‌های امنیتی دو مرحله‌ای (2FA) را شکسته و به اطلاعات آن‌ها دسترسی پیدا کردند.

هک 2FA کار جدیدی نیست و غالبا پروسه دور زدن آن بسیار پیچیده و سنگین است ولی هکرهای APT20 می‌گویند روش جدیدی برای این هک پیدا کردند.

تهدیدی که جدی است

اعتقاد بر این است که هکرهای چینی یک نرم‌افزار توکن RSA SecurID را از روی یک سیستم هک شدن به سرقت برده و بعد کلیدهای تعریف شده برای سیستم‌های مختلف را تغیییر دادند.

محققان امنیتی می‌گویند این نرم‌افزار برای سیستم‌های خاص تولید می‌شود ولی قطعا ارزش تولید شده برای هر سیستم که منحصربه‌فرد است؛ قابل بازیابی هم هست. در حقیقت، هکرها به ارزش مقادیر سیستم احرازهویت دو مرحله‌ای دسترسی پیدا نمی‌کنند بلکه سیستم تاییدیه را مجاب کرده که این مغادیر درست وارد شده و آن‌ها را تایید کند.

تا کنون، سیستم‌های دو مرحله‌ای به عنوان مستحکم‌ترین جایگزین برای رمزعبورها معرفی شدند و در حال حاضر، بسیاری از فرآیندهای امنیتی مبتنی بر آن‌ها هستند ولی هکرهای چینی نشان دادند این سیستم‌ها هم تحت شرایطی قابل دور زدن و قریب خوردن هستند.

اگرچه روشی که این هکرها استفاده کردند؛ نمی‌تواند عمومیت پیدا کند و کاربران عادی تهدید شوند ولی خطری جدی برای سیستم‌های بزرگ و خدمات مبتنی بر احرازهویت دو مرحله‌ای است.

منبع